Nachgefragt bei Peter Häufel, IBM

„IT-Sicherheit ist Chefsache“

Interview mit Peter Häufel, Senior Solution Sales Professional IBM Security Solutions

Peter Häufel, IBM

„IT-Sicherheit ist Chefsache! Nur dann kann die Sicherheit am unternehmerischen Ziel ausgerichtet werden“, betont Peter Häufel, Senior Solution Sales Professional IBM Security Solutions.

ITM: Herr Häufel, laut der aktuellen Lünendonk-Studie „Führende IT-Beratungs- und IT-Service-Unternehmen in Deutschland“ 
wurde neben „Mobile Business“ der Schwerpunkt „Sicherheit“ als wichtigstes Thema bewertet. 
Woran liegt das Ihrer Meinung nach?
Peter Häufel:
Sicherheit hat im Bewusstsein der Anwender durch zahlreiche Vorfälle in allen Bereichen psychologisch enorm an Bedeutung gewonnen. Die Firmen spüren nun, dass sie wirklich einer Gefahr ausgesetzt sind, die zu einem unternehmerisches Risiko geworden ist. Fachlich begründet ist es aber seit jeher eines der zentralsten IT-Themen, da ohne gute Sicherheitsvorkehrungen elementarste Unternehmensvorgänge und -interessen bedroht sind.

ITM: Welchen Stellenwert nimmt das Thema „IT-Sicherheit“ heutzutage im Mittelstand ein?
Häufel:
Dort, wo es bereits einmal Sicherheitsvorfälle gab, ein sehr hohes. Aber gute IT-Security ist nicht zum Nulltarif zu haben, so dass die Firmenleitung in vielen Fällen das nötige Investment scheut. Das Thema sollte ähnlich wie eine Versicherung gegen Schadensfälle betrachtet werden, da es sich über klassische ROI-Berechnungen nicht abdecken lässt.

ITM: Inwiefern greifen Mittelständler bereits auf professionelle IT-Sicherheitsberatungen zurück?
Häufel:
Der Rückgriff auf Anbieterexpertise findet bereits bei der Konzeption von IT-Systemen statt und hat sich auf fast alle Bereiche (IT-System-Sicherheit, Datensicherheit, Gebäude- und Asset-Schutz, Social Engineering etc.) ausgeweitet. Nur professionelle Sicherheitsberatung kann hier helfen, die Waage zwischen Risiko und Investment ins Gleichgewicht zu bringen. Gute Beratung kann auch helfen, Fehlinvestitionen zu vermeiden und sich auf die wichtigen Elemente zu fokussieren.

ITM: Welche technischen Lösungen und organisatorischen Aspekte schließt eine umfassende IT-Sicherheitsberatung mit ein?
Häufel:
Eine umfassende Beratung adressiert sehr viele Themen – quer durch den IT-Stack, aber auch konzeptionellen Unternehmens-, Gebäude- und Asset-Schutz, darüber hinaus die Abdeckung menschlicher Schwachstellen sowie von Angriffen von Innen.

ITM: Wie gehen Sie schrittweise bei der Erstellung eines Sicherheitskonzeptes vor und woran orientieren Sie sich hierbei?
Häufel:
Wir hören zunächst genau zu, arbeiten mit Checklisten mit den Unternehmen und erstellen gemeinsam eine Prioritätenliste, denn umfassender Schutz muss gegenüber verfügbaren Mitteln abgeglichen werden.

ITM: Wie ist es einem Beratungs-/Dienstleistungsunternehmen möglich, die Effektivität des im Anwenderunternehmen bereits etablierten IT-Sicherheitsprozesses zu überprüfen? (Stichwort: Risikomanagement)
Häufel:
Hierzu müssen drei Komponenten betrachtet werden: Hat der Kunde ein aktuelles Sicherheitskonzept? Ist dieses dem aktuellen Risiko angemessen ausgelegt und hat der Kunde eine Monitoring-Lösung, um den Ist-Zustand sowie die aktuelle Bedrohungslage ständig zu überprüfen?

ITM: Welche sicherheitsrelevanten Aspekte werden von den Unternehmen besonders häufig vernachlässigt?
Häufel:
Eine häufige Schwachstelle ist der Anwender selbst im Umgang mit sensiblen Daten, aber auch das Thema „Angriff von Innen“ – wer darf was im Unternehmen und warum? Ebenso wichtig ist es, speziell für den Mittelstand, sein Risiko wirklich zu kennen. Das können – trotz Risiko-Management-Systemen – momentan nicht viele Unternehmen.

ITM: Mit welchem Aufwand ist bei der Erstellung eines umfassenden Konzeptes zu rechnen?
Häufel:
Das Spektrum ist sehr groß. Ein zweitägiger Workshop kann der Beginn sein, ein sehr umfassendes Konzept sollte aber nicht nur von der Kostenseite, sondern hinsichtlich Opportunitätskosten im Schadensfall gewichtet werden (z.B. gegen die Kosten eines Reputationsverlustes, von Datenverlusten, Schadensersatzforderungen etc.).

ITM: Welche Rolle spielt für die Anwender die Erlangung eines international anerkannten IT-Sicherheitszertifikats? 
Wofür ist dies grundsätzlich wichtig?
Häufel:
Zertifikate können Wissen zum Thema nachweisen und Vertrauen schaffen. Sie können eventuell auch im Kontakt mit Kunden wichtige Nachweise sein. Sie weisen auch nach, dass die internen Prozesse definiert sind.

ITM: Welche IT-Sicherheitsstandards müssen ohnehin eingehalten werden?
Häufel:
Ein Blick in die einschlägigen gesetzlichen Regularien hilft hier, je nach Themenkreis. Beispiel ist der Schutz bei der Nutzung personenbezogener Daten oder die Sicherheitsvorkehrungen nach ISO- und DIN-Normen, oder das Zugangskontroll-Diensteschutzgesetz. Der vom BSI vorgeschlagene Grundschutz liefert die richtigen Ansatzpunkte, aber kein Unternehmen wird zur Einhaltung von IT-Sicherheitsstandards gezwungen, außer er verarbeitet geheime oder personenbezogene Daten. Weiterhin gilt natürlich, dass ein Unternehmen nicht fahrlässig handeln darf, was wiederum Sicherungsmaßnahmen nötig macht.

ITM: Wie wird letztlich das reibungslose Zusammenspiel der technischen und organisatorischen Sicherheitsmaßnahmen gewährleistet?
Häufel:
Eine gute Idee ist die Einführung eines Sicherheitsbeauftragten, der die Verantwortung im engen Austausch mit der Geschäftsführung bündelt. IT-Sicherheit ist Chefsache! Nur dann kann die Sicherheit am unternehmerischen Ziel ausgerichtet werden. Weiterhin ist auch nur so der Durchgriff auf alle Organisationseinheiten möglich, um die Schutzziele zu erreichen.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok